AuthN ist die Abkürzung für Authentifizierung und AuthZ ist die Abkürzung für Autorisierung. Dies sind zwei getrennte, aber eng miteinander verwobene Konzepte in der Welt der Identitäts- und Zugriffsverwaltung (IAM).
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
In der Informationssicherheit sind Authentifizierung und Autorisierung verwandte, aber getrennte Konzepte. Beide sind ein wichtiger Teil der Identitäts- und Zugriffsverwaltung (IAM). Lassen Sie sich auf Deutsch nicht von den Abkürzungen in die Irre führen: Authentifizierung wird nach dem englischen Begriff „Authentication“ mit „AuthN“ abgekürzt. Für Autorisierung verwendet man die Abkürzung AuthZ (Authorization).
Was ist der Unterschied zwischen AuthN und AuthZ? Einfach ausgedrückt: AuthN hat mit der Identität zu tun, also damit, wer jemand ist, während AuthZ mit den Berechtigungen zu tun hat, also damit, was jemand tun darf.
Authentifizierung bedeutet, sicherzustellen, dass ein Mensch oder ein Gerät derjenige (oder dasjenige) ist, der er/es vorgibt zu sein. Wenn Sie Tickets für eine Veranstaltung kaufen, müssen Sie vielleicht Ihren Ausweis vorzeigen, um Ihre Identität zu bestätigen. Genauso kann eine Anwendung oder eine Datenbank mit einer Identitätsprüfung sicherstellen, dass ein Nutzer legitim ist. Authentifizierung garantiert, dass die Daten nicht an die falsche Person weitergegeben werden.
Kombination aus Benutzername und Passwort
Eine der gängigsten Methoden zur Authentifizierung ist die Aufforderung an einen Nutzer, seinen Benutzernamen und sein Passwort einzugeben. Wenn Jessica ihr E-Mail-Konto in ihrem Browser aufruft, weiß der E-Mail-Dienst noch nicht, wer sie ist. Sobald sie jedoch ihren Benutzernamen und ihr Kennwort in das Anmeldeformular eingibt, kann der Dienst diese Daten überprüfen, sie als Jessica authentifizieren und sie in ihrem Konto anmelden.
Obwohl die meisten Menschen Athentifizierung in dieser Form kennen, können Benutzernamen und Passwörter für mehr als nur Nutzerauthentifizierung verwendet werden. Zum Beispiel können API-Endpunkte auf diese Weise authentifiziert werden.
Multi-Faktor-Authentifizierung (MFA)
Das Problem bei der Authentifizierung mit Benutzernamen und Passwort ist, dass böswillige Akteure Passwörter oft erraten oder stehlen können. Zusätzliche Authentifizierungsfaktoren erhöhen die Sicherheit für Nutzer. Dieses Konzept wird als Multi-Faktor-Authentifizierung (MFA) bezeichnet. Bei der MFA benötigt ein Angreifer mehr als ein Passwort, um sich als legitimer Nutzer vorzugeben.
MFA wird am häufigsten als Zwei-Faktor-Authentifizierung (2FA) implementiert. Viele Dienste fordern ihre Nutzer heute auf, den Besitz eines Tokens nachzuweisen. Es gibt zwei Arten von Token: „soft“ Token, wie ein Code, der einem Nutzer per SMS oder über eine mobile App zugesandt wird, und „hard“ Token, wie USB-Schlüssel. 2FA und MFA können auch biometrische Authentifizierungsfaktoren verwenden (siehe unten).
Öffentliches Schlüsselzertifikat
Die Authentifizierung mit öffentlichem Schlüssel ist etwas komplexer als diese anderen Formen der Authentifizierung, aber bei richtiger Implementierung kann sie sicherer sein. Sie verwendet die Verschlüsselung mit öffentlichen Schlüsseln, um zu überprüfen, ob die authentifizierte Partei den richtigen privaten Schlüssel besitzt oder nicht.
(Unter Wie funktioniert die Verschlüsselung mit öffentlichen Schlüsseln? erfahren Sie mehr über die Funktionsweise von öffentlichen und privaten Schlüsseln).
Am häufigsten wird die Authentifizierung mit öffentlichen Schlüsseln bei der Sicherheit auf Transportebene (TLS) verwendet, um einen Webserver zu authentifizieren. Nutzergeräte führen diese Art der Authentifizierung jedes Mal durch, wenn sie eine Website laden, die HTTPS verwendet.
Die Authentifizierung mit öffentlichem Schlüssel wird auch für die gegenseitige Authentifizierung verwendet, d. h. wenn beide Seiten einer Kommunikation sich gegenseitig authentifizieren, anstatt dass nur ein Client einen Server oder ein Webdienst einen Nutzer authentifiziert. Internet of Things (IoT)-Geräte und API-Endpunkte verwenden manchmal diese Art der Authentifizierung.
Biometrische Authentifizierung
Bei der biometrischen Authentifizierung, die nur für die Authentifizierung von Menschen geeignet ist, wird die Identität einer Person überprüft, indem eines ihrer physischen Merkmale mit einer Datenbank bekannter physischer Merkmale abgeglichen wird. Ein Gesichtsscan oder ein Netzhautscan sind Beispiele für diese Art der Authentifizierung.
Autorisierung bestimmt, was ein authentifizierter Nutzer sehen und tun kann. Denken Sie daran, was passiert, wenn sich ein Bankkunde online bei seinem Konto anmeldet. Da seine Identität authentifiziert wurde, kann er seinen eigenen Kontostand und die Transaktionshistorie sehen – aber er ist nicht berechtigt, die Daten anderer Kunden zu sehen. Ein Bankmanager könnte dagegen berechtigt sein, die Finanzdaten eines beliebigen Kunden einzusehen.
Ebenso kann eine Person zwar ein rechtmäßiger Mitarbeiter eines Unternehmens sein und ihre Identität verifiziert haben, aber das bedeutet nicht, dass sie Zugang zu allen Akten und Daten des Unternehmens erhalten sollte. Ein Mitarbeiter, der nicht in der Personal- oder Buchhaltungsabteilung arbeitet, sollte zum Beispiel nicht die Gehaltszahlungen aller Mitarbeiter sehen können.
Die Autorisierungsstufe eines Nutzers bestimmt, wozu er berechtigt ist. Ein gängiger Begriff für autorisierte Aktionen ist daher „Berechtigungen“. Ein anderer Begriff für dieses Konzept ist „Privilegien“.
Organisationen verwenden eine Art von Autorisierungslösung, um Aktionen von Nutzern zuzulassen oder zu blockieren. Die Lösung erkennt in der Regel anhand der Identität des Nutzers, welche Aktionen erlaubt oder blockiert werden sollen. Aus diesem Grund ist Authentifizierung eng mit Autorisierung verknüpft. Nutzerberechtigungen können auf verschiedene Weise bestimmt werden, z. B. auf folgende Weise:
Bei der rollenbasierten Zugriffskontrolle (RBAC) wird jedem Nutzer eine oder mehrere vorgegebene Rollen zugewiesen, und jede Rolle ist mit einem bestimmten Satz von Berechtigungen ausgestattet.
Bei der attributbasierten Zugriffskontrolle (ABAC) werden Nutzern Berechtigungen auf der Grundlage ihrer Attribute oder der Attribute der Aktion, die sie ausführen möchten, zugewiesen.
Bei der regelbasierten Zugriffskontrolle (auch RBAC genannt) werden Aktionen auf der Grundlage einer Reihe von Regeln erlaubt oder verweigert, die für alle Nutzer gelten, unabhängig von ihrer Rolle.
OAuth ist ein technischer Standard, um Autorisierungen von einem Dienst an einen anderen weiterzugeben. OAuth wird häufig für Cloud-Dienste und Webanwendungen verwendet und ermöglicht es Nutzern, sich bei einem Dienst zu authentifizieren und dann ihre Autorisierung an einen anderen Dienst weiterzugeben. Die Autorisierungsstufe wird in der Regel von einem Identitätsanbieter (IdP) bestimmt, der ein separater Dienst ist.
OAuth ermöglicht die Verwendung von Single Sign-On-Diensten (SSO). Damit kann ein Nutzer auf alle Cloud-Anwendungen mit nur einer Anmeldung zugreifen. Ohne die Verwendung von OAuth müssten die Berechtigungen eines Nutzers in jeder Anwendung separat eingerichtet werden.
Cloudflare Access ist eine AuthZ-Lösung. Sie erlaubt oder blockiert die Aktionen von Nutzern in lokalen, selbst gehosteten und SaaS-Anwendungen. Sie lässt sich mit jedem IdP für AuthN integrieren. Cloudflare Access bewertet auch das Sicherheitsniveau des Geräts, bevor der Zugriff gewährt wird, eine wichtiges Feature für die Implementierung eines Zero Trust-Modells (erfahren Sie mehr über Zero Trust).
Vertrieb
Über Zugriffsverwaltung
Über Zero Trust
VPN-Ressourcen
Glossar
Navigation Infocenter